CN115269073A - 一种云桌面基于设备id的精准usb外设控制方法 - Google Patents
一种云桌面基于设备id的精准usb外设控制方法 Download PDFInfo
- Publication number
- CN115269073A CN115269073A CN202210738445.4A CN202210738445A CN115269073A CN 115269073 A CN115269073 A CN 115269073A CN 202210738445 A CN202210738445 A CN 202210738445A CN 115269073 A CN115269073 A CN 115269073A
- Authority
- CN
- China
- Prior art keywords
- usb
- equipment
- cloud desktop
- white list
- allowed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002093 peripheral effect Effects 0.000 title claims abstract description 26
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000011217 control strategy Methods 0.000 claims abstract description 8
- 238000001914 filtration Methods 0.000 claims abstract description 8
- 230000004069 differentiation Effects 0.000 claims abstract description 4
- 230000010354 integration Effects 0.000 claims abstract description 4
- 230000006870 function Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000001824 photoionisation detection Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
- G06F9/452—Remote windowing, e.g. X-Window System, desktop virtualisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4411—Configuring for operating with peripheral devices; Loading of device drivers
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及外设控制技术领域,具体为一种云桌面基于设备ID的精准USB外设控制方法,包括S1:管理员根据业务需求,查询允许或禁止使用的USB设备PID、VID信息;S2:在云桌面控制器创建USB控制策略,将USB设备的PID、VID信息录入至黑白名单;S3:管理员根据用户身份与实际业务使用需求,将USB控制策略分配给指定用户使用;S4:用户使用云桌面客户端登录时,获取到所分配USB黑名单列表与USB白名单列表;S5:云桌面Agent启动时,注册USB过滤回调与USB设备消息回调;S6:云桌面Agent检测到USB设备接入时,通过设备管理API接口获取到USB设备的PID、VID信息,并与USB黑白名单进行匹配识别。本发明将USB设备的访问权限细分,在禁止虚拟机访问USB设备同时,也允许虚拟机访问指定USB设备。
Description
技术领域
本发明涉及一种外设控制方法,特别是涉及一种云桌面基于设备ID的精准USB外设控制方法,属于外设控制技术领域。
背景技术
云桌面是云计算时代的典型应用,包括个人级应用与组织级应用;云桌面可以把数据空间、管理服务,提供桌面化的方式发布给操作者,适合作为平板、手机等微持化移动应用的网络操作系统,也可以将传统PC升级为网络操作;基于数据空间的云桌面,主要通过虚拟化应用,将云端资源发布给各操作终端,仍属于数据平台云操作系统;如:华为、天霆等云桌面;
其中基于管理服务的云桌面,主要是通过SOA理念,将ESB和EBB的内容,发布给各操作终端,属于业务平台云操作系统云桌面产品通常都具备设备控制能力与策略,通过这些策略配置,能够实现禁止或允许指定虚拟机访问USB设备的功能,但此方法过于简单粗暴,无法满足虚拟机只允许使用指定USB设备,或只禁止使用指定USB设备的需求,同时部分技术通过改造USB接入硬件,可以实现在物理接入层就检测USB设备的可用性,安全性更高,但配置策略困难,而且需要定制硬件,不具备通用性。
因此,亟需对云桌面的外设控制进行改进,以解决上述存在的问题。
发明内容
本发明的目的是提供一种云桌面基于设备ID的精准USB外设控制方法,可以进一步将USB设备的访问权限进行细分,在禁止虚拟机访问USB设备的同时,也允许虚拟机访问指定的USB设备,适用于教育、医疗、政府、企业等用户既需要使用终端外设,又有数据安全需求的场景,能够安全可靠且可按需配置的USB外设控制技术,在保障工作生产的同时,防止出现业务数据外泄等数据安全事故。
为了达到上述目的,本发明采用的主要技术方案包括:
一种云桌面基于设备ID的精准USB外设控制方法,包括如下步骤:
S1:管理员根据业务需求,查询出需要允许或禁止使用的USB设备PID、VID信息;
S2:管理员在云桌面控制器上创建USB控制策略,将USB设备的PID、VID信息录入至黑名单或白名单;
S3:管理员根据用户身份与实际业务使用需求,将USB控制策略分配给指定用户使用;
S4:用户使用云桌面客户端登录时,获取到所分配USB黑名单列表与USB白名单列表;
S5:云桌面Agent启动时,注册USB过滤回调与USB设备消息回调;
S6:云桌面Agent检测到USB设备接入时,通过设备管理API接口获取到USB设备的PID、VID信息,并与USB黑白名单进行匹配;
S7:云桌面Agent检查匹配结果,当黑白名单均未启用时,所有USB设备允许使用;
S8:云桌面Agent检查匹配结果,当仅启用黑名单时,黑名单匹配成功的USB设备禁止使用,黑名单匹配失败的USB设备允许使用;
S9:云桌面Agent检查匹配结果,当仅启用白名单时,白名单匹配成功的USB设备允许使用,白名单匹配失败的USB设备禁止使用;
S10:云桌面Agent检查匹配结果,当黑白名单均启用时,白名单匹配成功的USB设备允许使用,黑名单匹配成功的USB设备禁止使用。
优选的,在所述S1中,终端用户在使用云桌面的过程中,需接入U盘、UKEY、USB网卡、USB打印机等各种带有USB接口的外部设备。
优选的,所述UKEY、以及所述USB打印机为工作需求必须使用的外设,所述U盘、以及所述USB网卡为工作中不需要,但会导致数据外泄的设备。
优选的,所述S2中的USB设备策略包括指定策略和通用策略。
优选的,所述指定策略包含指定设备的设备类型,厂商标识,产品标识以及是否允许重定向;所述通用策略确定所有未被指定的设备是否允许重定向,策略由零到多条指定策略和一条通用策略组成。
优选的,所述S5中,通过注册USB设备消息回调的方式,可以在USB设备的接入与移除时收到对应的事件通知,并在接入时通过设备管理API接口获取到USB设备准确的PID、VID信息。
优选的,所述S5中,通过注册USB设备过滤的方式,可以在向所述USB设备发起读写指令时,经过云桌面系统允许后才能将指令发至真正的USB设备,云桌面系统可根据USB黑白名单匹配结果,使用此功能实现USB设备的拦截与放行。
本发明至少具备以下有益效果:
1、可以进一步将USB设备的访问权限进行细分,在禁止虚拟机访问USB设备的同时,也允许虚拟机访问指定的USB设备,适用于教育、医疗、政府、企业等用户既需要使用终端外设,又有数据安全需求的场景,能够安全可靠且可按需配置的USB外设控制技术,在保障工作生产的同时,防止出现业务数据外泄等数据安全事故。
2、USB设备状态感知与信息获取技术:通过注册USB设备消息回调的方式,可以在USB设备的接入与移除时收到对应的事件通知,并在接入时通过设备管理API接口获取到USB设备准确的PID、VID信息。
3、精准USB控制技术:通过注册USB设备过滤的方式,可以在向USB设备发起读写指令时,经过云桌面系统允许后才能将指令发至真正的USB设备,云桌面系统可根据USB黑白名单匹配结果,使用此功能实现USB设备的拦截与放行。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明的流程框架示意图。
具体实施方式
以下将配合附图及实施例来详细说明本申请的实施方式,借此对本申请如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
如图1所示,本实施例提供的云桌面基于设备ID的精准USB外设控制方法,包括如下步骤:
S1:管理员根据业务需求,查询出需要允许或禁止使用的USB设备PID、VID信息;
S2:管理员在云桌面控制器上创建USB控制策略,将USB设备的PID、VID信息录入至黑名单或白名单;
S3:管理员根据用户身份与实际业务使用需求,将USB控制策略分配给指定用户使用;
S4:用户使用云桌面客户端登录时,获取到所分配USB黑名单列表与USB白名单列表;
S5:云桌面Agent启动时,注册USB过滤回调与USB设备消息回调;
S6:云桌面Agent检测到USB设备接入时,通过设备管理API接口获取到USB设备的PID、VID信息,并与USB黑白名单进行匹配;
S7:云桌面Agent检查匹配结果,当黑白名单均未启用时,所有USB设备允许使用;
S8:云桌面Agent检查匹配结果,当仅启用黑名单时,黑名单匹配成功的USB设备禁止使用,黑名单匹配失败的USB设备允许使用;
S9:云桌面Agent检查匹配结果,当仅启用白名单时,白名单匹配成功的USB设备允许使用,白名单匹配失败的USB设备禁止使用;
S10:云桌面Agent检查匹配结果,当黑白名单均启用时,白名单匹配成功的USB设备允许使用,黑名单匹配成功的USB设备禁止使用。
进一步的,在S1中,终端用户在使用云桌面的过程中,需接入U盘、UKEY、USB网卡、USB打印机等各种带有USB接口的外部设备。
更进一步的,UKEY、以及USB打印机为工作需求必须使用的外设,U盘、以及USB网卡为工作中不需要,但会导致数据外泄的设备。
进一步的,S2中的USB设备策略包括指定策略和通用策略。
更进一步的,指定策略包含指定设备的设备类型,厂商标识,产品标识以及是否允许重定向;通用策略确定所有未被指定的设备是否允许重定向,策略由零到多条指定策略和一条通用策略组成。
进一步的,S5中,通过注册USB设备消息回调的方式,可以在USB设备的接入与移除时收到对应的事件通知,并在接入时通过设备管理API接口获取到USB设备准确的PID、VID信息。
更进一步的,S5中,通过注册USB设备过滤的方式,可以在向USB设备发起读写指令时,经过云桌面系统允许后才能将指令发至真正的USB设备,云桌面系统可根据USB黑白名单匹配结果,使用此功能实现USB设备的拦截与放行。
如图1所示,本实施例提供的云桌面基于设备ID的精准USB外设控制方法的原理如下:所有USB设备都有供应商ID和产品识别码,并可通过设备管理API接口获取USB设备的设备信息,因此系统可以通过不同的VID与PID来识别出不同的USB设备;云桌面控制器会根据管理员设定,生成出禁止使用的USB黑名单列表与允许使用的USB白名单列表,当云桌面检测USB设备接入后,通过设备的VID和PID进行黑白名单匹配,再根据匹配结果放过或拦截USB设备读写请求,进而实现限制或允许用户使用USB设备的功能。
如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语,故应解释成“包含但不限定于”。“大致”是指在可接收的误差范围内,本领域技术人员能够在一定误差范围内解决技术问题,基本达到技术效果。
需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的商品或者系统中还存在另外的相同要素。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (7)
1.一种云桌面基于设备ID的精准USB外设控制方法,其特征在于,包括如下步骤:
S1:管理员根据业务需求,查询出需要允许或禁止使用的USB设备PID、VID信息;
S2:管理员在云桌面控制器上创建USB控制策略,将USB设备的PID、VID信息录入至黑名单或白名单;
S3:管理员根据用户身份与实际业务使用需求,将USB控制策略分配给指定用户使用;
S4:用户使用云桌面客户端登录时,获取到所分配USB黑名单列表与USB白名单列表;
S5:云桌面Agent启动时,注册USB过滤回调与USB设备消息回调;
S6:云桌面Agent检测到USB设备接入时,通过设备管理API接口获取到USB设备的PID、VID信息,并与USB黑白名单进行匹配;
S7:云桌面Agent检查匹配结果,当黑白名单均未启用时,所有USB设备允许使用;
S8:云桌面Agent检查匹配结果,当仅启用黑名单时,黑名单匹配成功的USB设备禁止使用,黑名单匹配失败的USB设备允许使用;
S9:云桌面Agent检查匹配结果,当仅启用白名单时,白名单匹配成功的USB设备允许使用,白名单匹配失败的USB设备禁止使用;
S10:云桌面Agent检查匹配结果,当黑白名单均启用时,白名单匹配成功的USB设备允许使用,黑名单匹配成功的USB设备禁止使用。
2.根据权利要求1所述的一种云桌面基于设备ID的精准USB外设控制方法,其特征在于:在所述S1中,终端用户在使用云桌面的过程中,需接入U盘、UKEY、USB网卡、USB打印机等各种带有USB接口的外部设备。
3.根据权利要求2所述的一种云桌面基于设备ID的精准USB外设控制方法,其特征在于:所述UKEY、以及所述USB打印机为工作需求必须使用的外设,所述U盘、以及所述USB网卡为工作中不需要,但会导致数据外泄的设备。
4.根据权利要求1所述的一种云桌面基于设备ID的精准USB外设控制方法,其特征在于:所述S2中的USB设备策略包括指定策略和通用策略。
5.根据权利要求4所述的一种云桌面基于设备ID的精准USB外设控制方法,其特征在于:所述指定策略包含指定设备的设备类型,厂商标识,产品标识以及是否允许重定向;所述通用策略确定所有未被指定的设备是否允许重定向,策略由零到多条指定策略和一条通用策略组成。
6.根据权利要求1所述的一种云桌面基于设备ID的精准USB外设控制方法,其特征在于:所述S5中,通过注册USB设备消息回调的方式,可以在USB设备的接入与移除时收到对应的事件通知,并在接入时通过设备管理API接口获取到USB设备准确的PID、VID信息。
7.根据权利要求1所述的一种云桌面基于设备ID的精准USB外设控制方法,其特征在于:所述S5中,通过注册USB设备过滤的方式,可以在向所述USB设备发起读写指令时,经过云桌面系统允许后才能将指令发至真正的USB设备,云桌面系统可根据USB黑白名单匹配结果,使用此功能实现USB设备的拦截与放行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210738445.4A CN115269073A (zh) | 2022-06-27 | 2022-06-27 | 一种云桌面基于设备id的精准usb外设控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210738445.4A CN115269073A (zh) | 2022-06-27 | 2022-06-27 | 一种云桌面基于设备id的精准usb外设控制方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115269073A true CN115269073A (zh) | 2022-11-01 |
Family
ID=83762440
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210738445.4A Pending CN115269073A (zh) | 2022-06-27 | 2022-06-27 | 一种云桌面基于设备id的精准usb外设控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115269073A (zh) |
-
2022
- 2022-06-27 CN CN202210738445.4A patent/CN115269073A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10356127B2 (en) | Methods and systems for applying security policies in a virtualization environment | |
US8136117B2 (en) | Information processor and information processing system | |
RU2679721C2 (ru) | Аттестация хоста, содержащего доверительную среду исполнения | |
EP2748753B1 (en) | Method and apparatus for controlling access to a resource in a computer device | |
US10757079B2 (en) | Method and system for controlling remote session on computer systems using a virtual channel | |
WO2015096695A1 (zh) | 一种应用程序的安装控制方法、系统及装置 | |
EP2939390B1 (en) | Processing device and method of operation thereof | |
CN109889517B (zh) | 数据处理方法、权限数据集创建方法、装置及电子设备 | |
EP3183655B1 (en) | User authorization for file level restoration from image level backups | |
US20100100929A1 (en) | Apparatus and method for security managing of information terminal | |
GB2521724A (en) | Computer device and method for isolating untrusted content | |
CA2792707A1 (en) | Associating services to perimeters | |
US20150381658A1 (en) | Premises-aware security and policy orchestration | |
CN107111511B (zh) | 访问控制的方法、装置和系统 | |
EP3552096A1 (en) | Co-existence of management applications and multiple user device management | |
CN115269073A (zh) | 一种云桌面基于设备id的精准usb外设控制方法 | |
CN113645060B (zh) | 一种网卡配置方法、数据处理方法及装置 | |
EP2839404B1 (en) | Method and computer device for handling com objects | |
CN114861160A (zh) | 提升非管理员账户权限的方法及装置、设备、存储介质 | |
CN113836529A (zh) | 进程检测方法、装置、存储介质以及计算机设备 | |
CN109040145B (zh) | 一种局域网安全接入的方法、存储介质及应用服务器 | |
EP2840755A1 (en) | Processing device and method of operation thereof | |
CN111506893A (zh) | 一种外部设备管理方法、装置、电子设备及存储介质 | |
EP3430524B1 (en) | Print interface technology agnostic data loss prevention through print operations | |
CN108062483B (zh) | 一种应用对系统资源进行访问的方法、装置及终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |